«Salve, vorrei prenotare una stanza per capodanno, può dirmi prezzo e disponibilità?». All’apparenza una normalissima mail di richiesta informazioni come tante ne arrivano alle amministrazioni di catene alberghiere, resort, locali e ristoranti. Attenzione a rispondere però, perché una volta intrecciata la corrispondenza potremmo essere già caduti nella trappola degli hacker. Da quando la Silicon Valley si è lanciata a capofitto nella corsa all’IA c’è un gruppo che più di tutti ha tratto profitto dall’uso massiccio dei nuovi algoritmi generativi: quello dei cybercriminali. Che sfruttando il potere della tecnologia GPT hanno creatro una nuova forma di phishing che risulta quasi impossibile da rilevare.
Criticità mutevoli/ Le regole sull'IA che rischiano di essere superate
Scordiamoci errori grammaticali e link sospetti che saltano subito all’occhio, storico marchio di fabbrica del phishing. Ora che al timone c’è l’IA, i giochi sono cambiati: non solo questi messaggi aggirano facilmente i maggiori filtri antispam ma presentano contenuti altamente personalizzati difficilissimi da smascherare. Questo perché gli algoritmi riescono a fare in pochi minuti ciò che ai criminali prima richiedeva ore di lavoro, cioè scansionare i social e i siti web delle attività commerciali alla ricerca di informazioni (comprese le recensioni degli utenti) che poi useranno per confezionare truffe su misura. Una tecnica che in gergo si chiama “spear phishing”, un attacco altamente mirato che prima non conveniva per tempo e per costi. Ma adesso che l’IA consente a chiunque di analizzare nel giro di qualche minuto quantità di dati colossali, questa metodologia è davvero alla portata di tutti.
LE INFORMAZIONI
Ed è così che un truffatore, una volta scoperto dove abbiamo condotto le ultime visite mediche, può inviarci un’e-mail spacciandosi per l’amministrazione ospedaliera e chiederci qualche informazione in più per «completare la nostra cartella clinica». Tutto in un italiano perfetto, con il tono giusto, contestualizzando. Peggio ancora se siamo titolari di un’attività: da quando gli algoritmi generativi sono penetrati nel sottobosco della criminalità informatica, ristoranti e alberghi si ritrovano a dover gestire una mole infinita di finte prenotazioni dove i “clienti” chiedono di aprire allegati che rimandano a siti malevoli studiati per carpire le credenziali dell’azienda.
Questo “phishing 2.0” ha già dato vita a cifre spaventose: secondo l’ultimo rapporto pubblicato dall’azienda di cybersecurity SlashNext, nell’ultimo anno c’è stato un aumento record del 1.265% delle email-truffa, per un totale di oltre 300 mila attacchi segnalati all’Fbi nel 2022. Nei casi peggiori, fa sapere il bureau americano, un colpo andato a segno può costare a un’azienda fino a 4,9 milioni di dollari.
Come ci difendiamo? «A livello aziendale, se hai una corrispondenza più o meno stabile con determinati fornitori strategici puoi appoggiarti a un gateway di posta, cioè un sistema che ti consente di impostare alcune regole ben definite su chi può scriverti e chi no», spiega Stefano Fratepietro, esperto di cybersecurity e ceo di Tesla Consulting. Un gateway tarato in modo corretto eviterebbe episodi come quello di cui è stata recentemente vittima la Zecca di Stato, che ha effettuato un pagamento di 3 milioni di euro all’iban di un hacker ungherese che si spacciava proprio per un fornitore.
I DATABASE
E a livello di utenti finali? «Bisogna controllare sempre il mittente – spiega Fratepietro – attenzione però, non il nome che compare sul messaggio ma il reale indirizzo di posta elettronica che ha inviato quell’email». La procedura cambia a seconda del programma di posta utilizzato ma generalmente basta passare il mouse sulla casella “mittente” per vederne l’indirizzo. Una procedura che purtroppo serve a poco se l’indirizzo risulta attendibile, e le mail truffa inviate dagli algoritmi si appoggiano per la maggior parte al dominio gmail.com, uno dei più diffusi al mondo. Il fenomeno fa ancor più paura se pensiamo che i cybercriminali per operare spesso si appoggiano alle informazioni contenute in database già violati, informazioni che useranno poi per addestrare gli algoritmi che così violeranno ancora più database, in un circolo perverso che ha come prima conseguenza quella di rendere l’IA sempre più brava a mentirci. Certo, gli stessi algoritmi potrebbero essere sfruttati anche per identificare le minacce in tempo reale sui nostri dispositivi, affrontando così la sicurezza informatica in modo predittivo piuttosto che reattivo. Ma in un’era in cui la corsa all’IA si riduce a chi svilupperà prima degli altri l’ultimo chatbot, l’utilizzo dell’IA in fase difensiva sembra aver perso posizioni nella scaletta delle priorità di Big Tech.